Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) yetkilileri Pazartesi günü yaptığı açıklamada, Log4j günlük kaydı çerçevesinde kritik bir uzaktan kod yürütme güvenlik açığı haberlerinin yayınlanmasından bu yana bir ay içinde, ABD’deki kusura bağlı büyük bir izinsiz giriş olmadığını söyledi.
Ancak, yaygınlığı (yüz milyonlarca cihaz ve bileşende güvenlik açığı vardır) ve bu açıktan yararlanma kolaylığı nedeniyle saldırganların daha sonra kusurdan yararlanma olasılığı konusunda uyardılar.
CISA direktörü Jen Easterly bu sabah bir sanal basın toplantısında, “Log4j’nin gelecekte izinsiz girişlerde kullanılmasını bekliyoruz” dedi. Özellikle kritik altyapı hedeflerine karşı “Tehdit aktörlerinin bu güvenlik açığından yararlanacağından endişe duyuyoruz”.
Geçtiğimiz ay içinde Apache Foundation, neredeyse tüm Java uygulama ortamlarında bulunan bir günlük kaydı aracı olan Log4j’de üç ayrı güvenlik açığı açıkladı. Güvenlik uzmanları, üç kusurdan önce vakfın ifşa ettiğini düşünüyor (CVE-2021-44228) açık ara en büyük tehdit olmak.
Easterly, şu anda Log4Shell olarak anılan kusuru, kariyerinde karşılaştığı en kötü ve saldırganların savunmasız bir sisteme 12 kadar az karakter göndererek yararlanabilecekleri bir kusur olarak nitelendirdi. Zafiyetten yararlanıldığında, saldırganlara güvenliği ihlal edilmiş sistemlere derin erişim elde etmenin bir yolunu veriyor, dedi. Şimdiye kadar, yaklaşık 2.800 ürünün savunmasız olarak tanımlandığını söyledi.
CISA siber güvenlik direktör yardımcısı Easterly ve Eric Goldstein, güvenlik açığı haberlerinin ilk ortaya çıkmasından bu yana, CISA’nın federal sivil kurumların Log4Shell kusurunun düzeltilmesini birinci öncelik haline getirmesini sağlamak için çalıştığını söyledi. CISA, NSA, FBI ve teknoloji şirketleri de dahil olmak üzere diğerleri ile birlikte, hem federal kurumlara hem de özel kuruluşlara yönelik güvenlik açığı konusunda rehberlik sağlamak için fazla mesai yapıyor.
17 Aralık’ta, ajans eklendi Bilinen ve aktif olarak yararlanılan kusurlardan oluşan bir katalogdaki güvenlik açığı. CISA, federal kurumlara internete açık varlıklarındaki kusuru tespit etmeleri ve ya yamamaları, tehdidi etkisiz hale getirmek için belirli hafifletmeleri uygulamaları veya savunmasız varlığı kaldırmaları için 23 Aralık’a kadar süre verdi. Ajansların, savunmasız olarak tanımladıkları tüm uygulamaların bir listesini, bu uygulamaların satıcılarını ve sorunu çözmek için aldıkları önlemleri CISA’ya 28 Aralık’a kadar sağlamaları gerekiyordu.
İki CISA yetkilisi, hükümet içindeki ve başka yerlerdeki yaygın yama ve azaltma çabalarının, muhtemelen ABD’de şimdiye kadar Log4j ile ilgili herhangi bir önemli uzlaşma olayının rapor edilmemiş olmasının bir nedeni olduğunu söyledi. Ancak saldırganların zaten birçok sistemi ele geçirmiş olmaları ve saldırmak için doğru anı bekledikleri de muhtemeldir.
Bu arada, GuidePoint Security’deki federal hizmetlerden sorumlu başkan yardımcısı Matt Keller, kuruluşunun federal kurumlarla olan etkileşimlerinin, bazılarının Log4Shell kusurunu düzeltmek için mücadele ettiğini gösterdiğini, çünkü kullanımlarının sonu veya destek sonu sistemleri olduğunu söylüyor. ortamlar.
Keller, “Bir sistem veya yazılımın kullanım ömrü/destek sonu olduğunda, genellikle yazılımı tasarlayan ve yazan şirket, geliştirme ekibini başka projelere taşır” diyor.
Sonuç olarak, bu ürünlerde ortaya çıkan hatalar için yamalar her zaman mevcut olmayabilir, diyor. “Bir yama mevcutsa sisteme yama yapılabilir. Bazen satıcılar bunun gibi bir şey için kritik bir yama için bir yama yayınlayabilir, ancak buna gerek yoktur” diyor.
Risk Altındaki Sistemleri Belirlemekte Zorlanan Bazı Kurumlar
Keller’e göre, bazı ajanslar da savunmasız sistemleri bulmakta zorlanıyor ve onları denemek ve bulmak için komut satırı komut dosyaları kullanıyor.
“Bazı sistemlerde bir komut dosyası çalıştırmak, her bir sisteme tek tek dokunmanız ve bulguları gözden geçirmeniz gereken yerlere tek başına odaklanabilir,” diye belirtiyor Keller.
Süreç, bir güvenlik açığı tarama aracı kullanmaktan daha yavaş ve ajansların Log4j kusuruna karşı yamalanması veya hafifletilmesi gereken sistemlerin eksik olmasına neden olabileceğini söylüyor.
Keller, devlet kurumlarının, devlette var olan tipik olarak daha karmaşık satın alma süreçleri nedeniyle, özel şirketlere göre kullanım ömrü sonu/destek sonu sistemleriyle ilgili sorun yaşama olasılığının daha yüksek olduğunu söylüyor. Bu nedenle, özel kuruluşların Log4Shell kusurunu yamalarken ömrünü tamamlamış sistemlerle ilgili sorunlarla karşılaşma olasılığının daha düşük olduğunu söylüyor.
NTT Application Security üyesi Ray Kelly, “Ömrünü tamamlamış bir ürüne yama uygulamak bazen düşünüldüğünden daha fazla dahil olabilir” diyor. “Örneğin, yama uygulanan bileşenlerin farklı bir programlama arabirimi varsa, uygulama için önemli kod değişiklikleri ve QA çalışması gerektirebilir. [to be] düzeltildi” diyor.
Netenrich’teki başlıca tehdit avcısı John Bambinek, kuruluşların kullanım ömrü sonu/destek sonu sistemlerini korumak için yapabileceklerinin en iyisinin, çevrelerine ağ savunması katmanları yerleştirmek olduğunu ekliyor.
“Onları, bu segmentlerde güçlü erişim kontrolü ve güçlü ağ anormalliği izlemesi ile yüksek düzeyde yalıtılmış VLAN’lara yerleştirin” diyor. Kuruluşlar, bu makinelerin herhangi bir İnternet erişimine sahip olmasını engellemeyi de düşünmelidir, diye ekliyor.